2006年4月 5日

[selinux-users:01491] restorecond


中村です。

FC5でyum updateすると、
restorecondってのが入ってきます。

詳細はこちら(Dan Walsh氏のブログ)↓
http://danwalsh.livejournal.com/4368.html


ファイル<->タイプ関連付けをinotifyを使って監視し、
おかしいところがあれば、自動的に直してくれるデーモンです。
(監視対象は、/etc/selinux/restorecond.conf に登録)

例えば、
~/public_htmlにホームページを作成する場合ですが、
従来、
ユーザが
mkdir public_html
して、
restorecon -R public_html
としなくてはいけませんでした。
(新規作成ファイルには、うまくタイプが付与されなかったから)

が、restorecondを使うと、
public_htmlの作成時点で、ラベルが適切に付与されます。

/var/www/htmlを監視対象にすれば、
/var/www/htmlにコンテンツをmvしたときのrestoreconも不要になりそうです。

ただ、ファイルのラベルづけをし直すことについては、
本場の人は,神経質になっているように見受けられます。
ファイル<->ラベルの設定は、
システム構築時にのみ「初期状態」として設定して、
その後のラベルのつけなおしは、
できればやるべきでない、みたいな話を誰かから聞きました。
なので、議論があるかもしれません。
例えば、
機密ファイルを表すタイプ(例えばsecret_t)が付与されたファイル(例えばsecret.txt)を
mv secret.txt ~/public_html
とすると、secret.txtのタイプがホームページと同じタイプになってしまい、
即座に公開されます。

" So this tool should really not be used for security sensitive data." と
Danさんのブログでも言ってますね

けど、個人的には、restorecondは便利なものに思います。

----
Yuichi Nakamura

投稿者 xml-rpc : 2006年4月 5日 05:48
役に立ちました?:
過去のフィードバック 平均:(4) 総合:(4) 投票回数:(1)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/34415
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。